Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Crea un nivel de acceso basado en el dispositivo

En esta página, se muestra cómo crear niveles de acceso basados en dispositivos mediante Access Context Manager.

Para obtener información sobre cómo aplicar niveles de acceso en recursos protegidos con Identity-Aware Proxy (IAP), consulta la documentación de BeyondCorp Enterprise.

Descripción general

Un nivel de acceso es un conjunto de atributos asignados a solicitudes en función de su origen. Mediante información, como el tipo de dispositivo, puedes designar el nivel de acceso que se otorgará. Por ejemplo, puedes asignar el nivel “High_Trust” a los dispositivos con unidades encriptadas y “Medium_Trust” en dispositivos que solo tengan un bloqueo de pantalla.

La información del dispositivo se recopila y se hace referencia en los niveles de acceso una vez que configuras Endpoint Verification.

Se aplica un nivel de acceso cuando se agrega como una condición de administración de identidades y accesos (IAM) en tu recurso protegido con IAP. Este proceso forma parte del enfoque de BeyondCorp Enterprise para proteger las apps y los recursos.

Para obtener más información, consulta la descripción general de Access Context Manager.

Antes de comenzar

  • Se te deben otorgar algunas de las siguientes funciones:

    • Administrador de Access Context Manager
    • Editor de Access Context Manager
    • Lector de Access Context Manager
  • Configura la Endpoint Verification.

Crear un nivel de acceso

En el siguiente proceso, se crea un nivel de acceso basado en el dispositivo.

Para este ejemplo, supongamos que deseas crear un nivel de acceso que permita a los usuarios acceder a tu recurso solo si tienen almacenamiento en el dispositivo encriptado.

Console

  1. Ve a la página de Access Context Manager en Cloud Console.

    Ir a la página de Access Context Manager

  2. Si se te solicita, selecciona tu organización.

  3. En la parte superior de la página Access Context Manager, haz clic en New.

  4. En el panel Nuevo nivel de acceso, en la sección Condiciones, haz clic en Agregar atributo y, luego, en Política de dispositivo.

  5. Haz clic en el menú desplegable Encriptación de almacenamiento y selecciona Encriptado. Ten en cuenta que esta regla solo funcionará cuando configures Endpoint Verification en los dispositivos de tus empleados.

  6. Haga clic en Save.

gcloud

  1. Crea un archivo .yaml para un nivel de acceso que incluya atributos de la política del dispositivo.

    En este ejemplo, para limitar el acceso solo a los usuarios con almacenamiento encriptado por dispositivo, deberías ingresar lo siguiente en el archivo .yaml:

    - devicePolicy:
        allowedEncryptionStatuses
          - ENCRYPTED
    

    Para obtener una lista de los atributos de nivel de acceso a la política de dispositivos y su formato YAML, consulta Atributos de política de dispositivo. Consulta este archivo YAML de nivel de acceso de ejemplo para obtener un archivo YAML integral de todos los atributos posibles.

    Ten en cuenta que la regla devicePolicy solo funciona una vez que configuras Endpoint Verification en los dispositivos de tus empleados.

  2. Guarda el archivo. En este ejemplo, el archivo se llama CONDITIONS.yaml.

  3. Crea el nivel de acceso:

    gcloud access-context-manager levels create NAME \
       --title TITLE \
       --basic-level-spec CONDITIONS.yaml \
       --policy=POLICY_NAME
    

    Aquí:

    • NAME es el nombre único para el nivel de acceso. Debe comenzar con una letra y, además, incluir solo letras, números y guiones bajos.

    • TITLE es un título legible. Debe ser único para la política.

    • POLICY_NAME es el nombre de la política de acceso de tu organización.

    Deberías ver un resultado similar a este:

    Create request issued for: NAME
    Waiting for operation [accessPolicies/POLICY_NAME/accessLevels/NAME/create/1521594488380943] to complete...done.
    Created level NAME.
    

API

  1. Crea un cuerpo de solicitud para crear un recurso AccessLevel.

    En este ejemplo, para limitar el acceso solo a los usuarios con almacenamiento encriptado por dispositivo, deberías ingresar lo siguiente en el archivo .yaml:

    {
     "name": "NAME",
     "title": "TITLE",
     "basic": {
       "conditions": [
         {
         "devicePolicy": [
           "allowedEncryptionStatuses": [
             "ENCRYPTED"
           ]
         ]
         }
       ]
     }
    }
    

    Aquí:

    • NAME es el nombre único para el nivel de acceso. Debe comenzar con una letra y, además, incluir solo letras, números y guiones bajos.

    • TITLE es un título legible. Debe ser único para la política.

    Para obtener una lista de los atributos de nivel de acceso a la política de dispositivos y su formato YAML, consulta Atributos de política de dispositivo. Consulta este archivo YAML de nivel de acceso de ejemplo para obtener un archivo YAML integral de todos los atributos posibles.

  2. Para crear el nivel de acceso, llama a accessLevels.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/accessLevels
    

    Aquí:

    • POLICY_NAME es el nombre de la política de acceso de tu organización.

Aplica un nivel de acceso

Después de crear tu nivel de acceso, debes aplicarlo a un recurso protegido con IAP para que se aplique. Este proceso forma parte de que tus recursos de Google Cloud sean contextuales.

  1. Protege tu recurso con IAP.

  2. Aplica tu nivel de acceso al recurso.